Microsoft reconoce una nueva vulnerabilidad de día cero en Explorer

Microsoft investiga una nueva vulnerabilidad de día cero –es decir, para la que ya existe código de ataque y que aún no ha sido cubierta mediante ningún parche- que permite a los atacantes tomar el control de los equipos de los usuarios de Internet Explorer (IE). El código de explotación para esta vulnerabilidad ha sido añadido a la herramienta Metasploit

Microsoft reconoce una nueva vulnerabilidad de día cero en Explorer

25 de diciembre de 2010, 15:43 | Actualizado a

Microsoft reconoce una nueva vulnerabilidad de día cero en Explorer

Microsoft investiga una nueva vulnerabilidad de día cero –es decir, para la que ya existe código de ataque y que aún no ha sido cubierta mediante ningún parche- que permite a los atacantes tomar el control de los equipos de los usuarios de Internet Explorer (IE). El código de explotación para esta vulnerabilidad ha sido añadido a la herramienta Metasploit.

El fallo de seguridad ha sido detectado por la compañía VUPEN, que ha confirmado la vulnerabilidad en Internet Explorer 8 sobre Windows 7, Windows Vista SP2 y Windows XP SP3, así como en Internet Explorer 6 y 7 sobre Windows XP SP3.

Se trata, según VUPEN, de una vulnerabilidad de corrupción de memoria dentro del motor HTML de Microsoft (mshtml) cuando se procesan páginas web que refieren a archivos CSS (Cascading Style Sheets) que incluyen reglas @import. Explotándola, un atacante podría ejecutar código arbitrario a través de una página web maliciosa.

Microsoft ha reconocido la existencia del problema y, dado que los mecanismos DEP y ASLR de Windows resultan ineficaces para resolverlo, ha recomendado tomar medidas adicionales, como los sistemas de seguridad EMET, hasta que esté disponible el parche correspondiente.

Loading...